Ce que nous pouvons apprendre des principaux conseils technologiques que nous ne suivons jamais

Le mois d'octobre 2024 marque la 21^e édition du Mois de la sensibilisation à la cybersécurité. Quatre semaines d'activités thématiques destinées à sensibiliser à la cybersécurité et à l'importance de la sécurité en ligne. Depuis 21 ans, cet événement annuel exhorte les particuliers et les entreprises à prendre des mesures telles que l'utilisation de mots de passe fiables, la mise à jour des logiciels, la détection des attaques par phishing et d'autres mesures de base qui sous-tendent la cybersécurité. Tout le monde sait que ce conseil est fondé. Pourtant, plus de 20 ans plus tard, des millions d'organisations et leurs employés peinent à l'adopter.

Et il n'y a pas que les mots de passe et les correctifs, les humains ont une capacité sans faille à ignorer d'autres conseils techniques même s'ils savent qu'ils sont justifiés. Peut-être que si nous comprenions pourquoi, nous pourrions mieux comprendre le paradoxe du mot de passe.

Conseils techniques que nous aimons ignorer 

1. Lire le manuel.

Des études ont montré que moins de 25 % des personnes lisent le manuel ou le mode d'emploi qui accompagne un nouvel appareil ou une nouvelle application. Elles ont conclu que les gens sont de plus en plus impatients et préfèrent explorer par eux-mêmes et apprendre de leurs erreurs. La plupart ont abandonné au bout de quelques minutes. D’autres recherches montrent que 95 % des produits retournés fonctionnent très bien.

2. La suppression d'une application indésirable de votre téléphone peut ne pas résoudre tous les problèmes.

La simple suppression d'une application n'effacera pas nécessairement les données personnelles qu'elle contient, ne vous dissociera pas des autres comptes auxquels vous l'avez connectée, comme un compte de réseau social, et ne supprimera pas les logiciels publicitaires gênants que vous avez installés en même temps que l'application. 

3. Un appareil simple et convivial sera plus utilisé qu'un appareil complexe doté d'une multitude de fonctionnalités. 

Toutes les nouvelles fonctionnalités et tous les nouveaux boutons du dernier modèle sont terriblement tentants, mais vous risquez de ne pas les utiliser ou d'en tirer profit à cause de ce que l'on appelle « l'effet de surcharge de choix ». La meilleure illustration de cet effet est la confiture.

Une célèbre étude de l'université de Columbia a montré que lorsqu'on proposait à des clients de goûter 24 confitures, seuls 3 % d'entre eux achetaient un pot, alors que lorsqu'on leur proposait 6 confitures, 30 % d'entre eux achetaient. Trop d'options conduisent à la paralysie du choix.

4. Faire toujours la même chose ne résoudra pas le problème.

Nous sommes tous passés par là, appuyant à plusieurs reprises sur le bouton « rafraîchir », « redémarrer » ou « recharger » dans l'espoir que le problème disparaisse cette fois-ci comme par magie. Eh bien, non. Mais plus nous sommes frustrés, plus nous sommes susceptibles de continuer. Nous aurions pu consacrer tout ce temps et cette énergie à la recherche d'une solution adéquate.

5. Définir un mot de passe décent.

Vos mots de passe sont les clés de vos actifs et données en ligne et de ceux de votre employeur, pourquoi ne pas en choisir un qui soit fort, unique et difficile à deviner ? En réalité, les mots de passe simples sont faciles à retenir et nous les aimons, tandis que les mots de passe complexes sont sûrs mais faciles à oublier, ce qui a pour effet de vous bloquer ou de vous obliger à faire des pieds et des mains pour trouver et définir un nouveau mot de passe dont vous vous souviendrez peut-être cette fois-ci. C'est une véritable corvée.

Un rapport récent montre que si 91 % des personnes interrogées affirment comprendre les risques liés à la réutilisation des mots de passe, 59 % admettent le faire malgré tout. Au travail, la situation n'est guère meilleure : lorsqu'ils doivent réinitialiser leur mot de passe, près de la moitié d'entre eux (49 %) se contentent d'ajouter un chiffre ou un caractère à leur mot de passe existant.

C'est quoi notre problème ?

La liste ci-dessus donne un aperçu de l'interaction entre l'homme et la technologie qui ressemble un peu à ceci : nous voulons que les choses soient transparentes, prêtes à l'emploi et intuitives, avec suffisamment de choix pour ajouter de la valeur, mais pas trop pour ne pas paralyser la prise de décision. Et pour toutes les questions délicates et les travaux difficiles, il faut que quelque chose ou quelqu'un d'autre s'en occupe en coulisses. L'obligation de créer et de définir des mots de passe uniques, forts et complexes pour chaque compte n'est pas vraiment admissible, et une enquête récente a révélé que deux tiers des personnes interrogées (65 %) ne font pas confiance aux gestionnaires de mots de passe.

Ce que signifie pour les employeurs une mauvaise attitude face aux mots de passe

Selon le rapport Verizon Data Breach Investigations Report 2024, les mots de passe compromis sont à l’origine de 77 % des violations liées au piratage. De plus, l’authentification multifactorielle (MFA), conçue pour renforcer les contrôles d’accès, est désormais la cible de pirates qui utilisent des techniques telles que les attaques MFA par lassitude.

Arrêtons-nous un instant. Après des décennies d'avertissements, les gens ne mettent toujours pas systématiquement en œuvre des mots de passe forts et uniques. En outre, l'authentification par mot de passe ne suffit plus à protéger les identités. Il est peut-être temps d’envisager sérieusement une alternative.

« L'avenir de l'authentification est sans mot de passe », explique Emre Tezisci, Product Marketing Manager chez Barracuda. « L'authentification sans mot de passe est un moyen de vérifier l'identité d'une personne à l'aide de méthodes alternatives telles que la biométrie (empreintes digitales ou reconnaissance faciale), les jetons matériels ou les mots de passe à usage unique (OTP) envoyés par e-mail ou SMS. De nombreuses applications et dispositifs grand public reposent déjà sur la biométrie, notamment certains téléphones mobiles et certaines applications bancaires et de paiement.

« Dans l'environnement professionnel, l'évolution vers l'absence de mot de passe peut prendre un peu plus de temps. Les solutions émergent encore et toutes les organisations ne sont pas prêtes à adopter cette approche. Il est important de continuer à offrir toutes les options, y compris les connexions classiques, tout en aidant les entreprises à migrer vers un avenir d'accès continu et conditionnel, avec des permissions centralisées, des autorisations d'accès en libre-service et, en fin de compte, une expérience sécurisée et simple sans mot de passe. À ce stade, le risque associé à l'utilisation du nom de votre poisson rouge pour authentifier 20 comptes n'a plus lieu d'être. »